Технологии обеспечения информационной безопасности в современных информационных системах и сетях

Применение защищенных виртуальных сетей

ЬйонеЬи другие публичные сети обеспечивают возможность существенно снизить стоимость построения распределенной автоматизированной системы, однако передаваемая по этим сетям информация без принятия дополнительных мер оказывается незащищенной. В связи с этим использование телекоммуникационной среды публичных сетей как части ЗАС требует формирования на их основе защищенных каналов. Это осуществляется с использованием шифрования и контроля целостности передаваемой информации. «Канал» связи между каждой парой удаленных объектов ЗАС, использующих шифрование циркулирующей между ними информации, оказывается закрытым по отношению к внешней среде (если используются стойкие алгоритмы). Таким образом, на основе открытой телекоммуникационной среды оказывается сформированной защищенная сеть, причем никаких затрат на построение физических каналов связи не было произведено. Такие виртуальные сети получили название «Виртуальные частные сети»

VPN (Virtual Private Networks) В настоящее время они приобрели чрезвычайную привлекательность в качестве инструмента организации электронного бизнеса, электронного документооборота, оперативного средства совершения финансовых операций.

VPN это объединение локальных сетей и отдельных компьютеров, подключенных к сети общего пользования и использующих последнюю как телекоммуникационную среду для передачи шифрованных сообщений, что обеспечивает конфиденциальность и целостность передаваемой информации между объектами соединенными через открытую сеть общего пользования.

Наложенная корпоративная сеть на сеть общего пользования становится виртуальной защищенной сетью благодаря использованию следующих трех основных элементов обеспечения информационной безопасности:

  • • Шифрование (обеспечение секретности).
  • • Аутентификация (проверка подлинности, включая контроль целостности, и

придание юридической силы передаваемым сообщениям).

• Контроль доступа.

Только реализация этих трех механизмов позволяет защитить пользовательские компьютеры, серверы предприятия и данные, передаваемые по незащищенным каналам связи, о нежелательных внешних вторжений, утечки информации и несанкционированных действий.

Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись, сформированную отправителем и удостоверяющую аутентичность и целостность пакета: для обеспечения конфиденциальности пакеты шифруются, причем для сокрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут быть зашифрованы вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.

В настоящее время для организации защищенных VPN-каналов используется комплекс стандартов Internet, известный под названием IP-Sec (IP Security). Стандарты IP-Sec характеризуются универсальностью и гибкостью. В этих стандартах оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчик IPSec-продукта может дополнять данный список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сеансовых ключей в стандартах IP-Sec предусмотрена возможность использования цифровых сертификатов и структуры открытых ключей PKI (Public Key Infrastructure), что делает решение IP-Sec

масштабируемым и согласованным с другими средствами защиты, например со средствами контроля доступа.

Средства VPN могут эффективно поддерживать защищенные каналы трех основных типов (варианты применения):

  • • С удаленными сотрудниками (защищенный удаленный доступ).
  • • С сетями филиалов предприятий (защита intranet).
  • • С сетями предприятий-партнеров (защита extremet).

Для защита удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен и даже тысяч защищенных соединений. При защите сети extranet главным требованием является соответствие реализации VPN-продуктов стандартам IP-Sec. Следует заметить, что поддержка IP-Sec сегодня является обязательным условием для перспективных VPN- продуктов.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >